Säkerhetsforskare har upptäckt en ClickFix DNS-attack som levererar skadlig kod med hjälp av ett vanligt Windows-diagnostikkommando. I stället för att ladda ner en fil hämtar offren ovetande skadlig kod direkt via DNS-förfrågningar. Metoden döljer nyttolasten i normal nätverkstrafik och minskar risken för upptäckt.
Användare luras att köra kommandon
Kampanjen bygger på social manipulation snarare än sårbarheter i programvara. Offren får instruktioner som påstår att de måste åtgärda ett fel eller aktivera en tjänst. Guiden uppmanar dem att öppna Kör-dialogen i Windows och köra ett nslookup-kommando.
Kommandot ansluter till en DNS-server som kontrolleras av angriparen i stället för en legitim resolver. I stället för vanlig domäninformation innehåller svaret kodade instruktioner. Systemet startar därefter ett PowerShell-skript utan att användaren förstår syftet.
Skadlig kod levereras via DNS-svar
Angriparna placerar nästa steg av nyttolasten i DNS-svarets fält. Eftersom DNS-trafik ser normal ut behandlar säkerhetsverktyg den ofta som bakgrundsaktivitet. Därför når instruktionerna enheten utan synlig nedladdning.
Efter körning hämtar skriptet fler komponenter och förbereder systemet för långvarig kompromettering. Det samlar systeminformation och etablerar kontakt med angriparens infrastruktur.
Fjärråtkomst etableras
Den slutliga nyttolasten installerar en fjärråtkomsttrojan som ger angriparen kontroll över datorn. Beständighetsmekanismer gör att skadlig kod startar automatiskt varje gång Windows startar.
Eftersom DNS används som leveranskanal kan angriparen när som helst ändra nyttolasten. Det räcker att uppdatera svaret på servern utan att ändra kommandot som visas för offret.
Varför metoden fungerar
Traditionella säkerhetslösningar fokuserar ofta på nedladdningar eller misstänkta webbplatser. Den här attacken använder i stället ett betrott systemverktyg och normal nätverkstrafik. Eftersom användaren själv kör kommandot ser beteendet legitimt ut.
Metoden visar hur angripare i allt högre grad kombinerar användarinteraktion med diskret leverans i stället för att utnyttja sårbarheter.
Skyddsrekommendationer
Användare bör undvika att köra kommandon från okända källor, även om instruktionerna verkar tekniska. Organisationer bör övervaka ovanliga DNS-förfrågningar och begränsa skriptkörning där det är möjligt.
Utbildning i att känna igen social manipulation är fortfarande ett av de mest effektiva skydden.
Slutsats
ClickFix DNS-attacken visar en övergång mot tystare metoder för spridning av skadlig kod. Genom att dölja en PowerShell-nyttolast i DNS-svar kringgår angripare många traditionella skydd. Försiktigt användarbeteende och nätverksövervakning är avgörande för att förhindra intrång.
0 svar till ”ClickFix DNS-attack levererar skadlig kod via nslookup”